系统一共2个用户:admin(密码:P@ssw0rd)和Carson(密码:abcd1234)
Q1:分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么?
第一道题就属实能够让99.9%的选手做错,而且题目确实有歧义!
直接利用系统自带的”systeminfo”命令查看。在命令符窗口中输入”systeminfo”,然后回车,等待系统自动运行,在系统信息中即可查看系统安装时间。
但是美亚杯官网给的系统安装时间是9月,所以需要继续判断一下。在C盘下找到了 Windows.old 的文件夹,说明系统有过重装系统的操作。我们需要对重装系统前“Windows.old”下的注册表文件进行分析。
我们需要找到该目录下的【..\Windows\System32\config\SOFTWARE】文件,该文件是系统注册表的备份文件,使用 RegRipper(工具即将收录到悟X工具箱) 对 SOFTWARE 进行解析:
需要注意的是不要用Windows自带的注册表编辑器导入,否则后面做的题可能出现错误
打开解析后的 1.txt,搜索 InstallDate(系统安装时间)得到 2022/09/26 21:35:17。
你以为这就结束了吗?美亚杯官网答案是2022/09/26 14:35:17,上面解析的时间 2022/09/26 21:35:17 +8 就是 2022/09/27 05:35:17,与正确答案相差15小时?
不会是出题者把系统时间修改了,然后以修改后的时间来做正确答案?
事件查看器快捷键是win+R,打开之后输入eventvwr命令,打开”事件查看器”后,选择”Windows Logs”下的”security”选项卡,查找Event ID为“4616”,即可查看电脑修改时间的记录。
不过想了一下,就算修改系统时间也是在旧系统上设置的,所以还是要去“Windows.old”文件夹下找安全事件日志的文件,路径为【..\Windows\System32\winevt\Logs\Security.evtx】。
使用 EventLogExplorer(工具即将收录到悟X工具箱) 对 Security.evtx 进行解析:
以前的时间: 2022-09-27T01:19:34.2240503Z
新时间: 2022-09-26T10:19:34.2679321Z
对应我们的时区 +8 就是,2022-09-27 09:19:34 修改到了 2022-09-26 18:19:34,间隔15个小时(看清楚时间,别反着数)。不会吧?还真以修改后的时间来做正确答案?
Q2:AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是?
打开CMD输入”wmic”命令并按下回车键,打开Windows Management Instrumentation Command (WMIC) 工具。输入”product get name,installdate”命令并按下回车键,这将列出计算机上安装的所有程序的名称和安装日期。
具体时间得找到这个软件的安装目录了,可以看着选项判断一下答案。直接能找到某个软件的具体安装时间,目前在网上没有找到资料。
Q3:AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料?
A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY
首先排除CDE(认真看了上面的内容你也能判断),又说是用户 Carson 链接,那直接可以选择A了。
Q4:承上题,用户carson连接的网络磁盘机的IP地址是什么?
我登陆的是 admin 帐号,所以要先切换到 carson 的帐号下查看:
Q5:分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层;承上题,王景浩使用的信用卡号码最后四位数字是?
打开 Outlook 邮箱分析即可,略
Q6: AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件,那个档案的档案名是什么?
通过邮件分析,得到下载链接之后,直接去查询历史访问记录。
就两个浏览器,一个 Windows Edge,另一个是 Google Chrome,每个打开搜索下:
再看一下 Chrome 浏览器默认下载目录有无修改:
下载目录下就一个 docx 文档文件,本来还要去分析下载的文件名呢,看来不需要了
Q7:承上题,分析该 ‘Word’ 文件,它的可能用途是?
自信的打开 ollydbg / IDA,发现高估了自己,还是选择使用在线分析平台,推荐:
VirSCAN:https://www.virscan.org/language/zh-cn/
微步在线云沙箱:https://s.threatbook.cn/
Q8:AGC-CS计算机里有一个名为 ‘admin’ 的用户,它是在何时被建立的?
用 EventLogExplorer,上面 Security.evtx 又已经备份出来了,不妨直接分析。Windows 创建新用户的 event id 是4720,直接筛选即可找到:
